Saleté de SALITY !!!!!

JP avait soumis l'idée :

Bonjour,

Le PC de mon voisin est infecté par le virus Sality :

Système Windows XP Pro SP1
...hum hum...des mises à jour existent...

L'anti-virus AVAST ne se lance pas, le fichier exécutable ashAvast.exe ayant
disparu du répertoire. Même immédiatement après une réinstallation d'Avast,
ce fichier n'existe pas.

De même, Ad-Aware ne se lance pas, exécutable a disparu.

Lors d'un redémarrage en mode sans échec, le PC se plante et reboote
immédiatement.

L'anti-virus en ligne secuser m'a permis de détecter Sality, mais uniquement
à l'intérieur des restaurations.

Je mets le log d'HijackThis en pièce jointe.
faites un copier/coller...

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer :
http://cerbermail.com/?tVjLN6N0wM

Eric G. wrote:

faites un copier/coller...

Le voici :

Logfile of HijackThis v1.99.1
Scan saved at 18:58:19, on 08/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32nvsvc32.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindService.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32wdfmgr.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:WINDOWSExplorer.EXE
C:Program FilesMicrosoft IntelliType Protype32.exe
C:Program FilesMicrosoft IntelliPointpoint32.exe
C:Program FilesMessengerPlus! 3MsgPlus.exe
C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe
C:Program FilesAnalog DevicesSoundMAXSmax4.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesSAGEMSAGEM F@st 800-840dslmon.exe
C:Program FilesDigitalPeersCamTrackdptracker.exe
C:Program FilesTClocktclock.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1ADMINI~1.AZELOCALS~1TempRar$EX00.094HijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.wanadoo.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:PROGRA~1WanadooSEARCH~1.DLL (file missing)
O1 - Hosts: 195.158.171.60 www.file-webber.de
O1 - Hosts: 195.158.171.60 file-webber.de
O1 - Hosts: 195.158.171.60 www.p2p-load.de
O1 - Hosts: 195.158.171.60 p2p-load.de
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: Adobe PDF Reader Link Helper -
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat
7.0ActiveXAcroIEHelper.dll
O2 - BHO: Alcohol Toolbar Helper - {0ACF00E0-C1E4-4F6B-B290-10AC7505C47A} -
C:Program FilesAlcohol Toolbarv3.0.0.0AudioGizmo_Toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:Program FilesJavajre1.5.0_06binssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O3 - Toolbar: Alcohol Toolbar - {DC59A0D4-0ED6-4A73-B356-1B977F2A7725} -
C:Program FilesAlcohol Toolbarv3.0.0.0AudioGizmo_Toolbar.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE
C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [type32] "C:Program FilesMicrosoft IntelliType
Protype32.exe"
O4 - HKLM..Run: [IntelliPoint] "C:Program FilesMicrosoft
IntelliPointpoint32.exe"
O4 - HKLM..Run: [MessengerPlus3] "C:Program FilesMessengerPlus!
3MsgPlus.exe"
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog
DevicesSoundMAXSMax4PNP.exe
O4 - HKLM..Run: [SoundMAX] "C:Program FilesAnalog
DevicesSoundMAXSmax4.exe" /tray
O4 - HKLM..Run: [WinPatrol] C:PROGRA~1BILLPS~1WINPAT~1winpatrol.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~2Avast4ashDisp.exe
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - Startup: CamTrack.lnk = C:Program
FilesDigitalPeersCamTrackdptracker.exe
O4 - Startup: TClock.lnk = C:Program FilesTClocktclock.exe
O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st
800-840dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program
FilesAdobeAcrobat 7.0Readerreader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MI1933~1OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:Program FilesJavajre1.5.0_06binssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program
FilesJavajre1.5.0_06binssv.dll
O9 - Extra button: Créer un Favori de l'appareil mobile -
{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:Program FilesMicrosoft
ActiveSyncINetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -
C:Program FilesMicrosoft ActiveSyncINetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... -
{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:Program FilesMicrosoft
ActiveSyncINetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:PROGRA~1MI1933~1OFFICE11REFIEBAR.DLL
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) -
http://support.asus.com/common/asusTek_sys_ctrl.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://static.loudcash.com/UCITest/Cabs/4484.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
(MsnMessengerSetupDownloadControl Class) -
http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 -
HKLMSystemCCSServicesTcpip..{31009F2B-C291-4E08-BC3E-2F26EEEBC8C1}:
NameServer = 80.10.246.130 80.10.246.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -
C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -
C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSSystem32nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:Program
FilesRaxcoPerfectDiskPDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:Program
FilesRaxcoPerfectDiskPDSched.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) -
Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division
Software - C:Program FilesAlcohol SoftAlcohol
120StarWindStarWindService.exe

Logfile of HijackThis v1.99.1
Scan saved at 18:58:19, on 08/08/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
Passez au SP2

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
et donc mettre à jour Internet Explorer...

C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindService.exe
à priori inutile

C:Program FilesQuickTimeqttask.exe
inutile

C:Program FilesMicrosoft ActiveSyncWCESCOMM.EXE
C:Program FilesSAGEMSAGEM F@st 800-840dslmon.exe
C:Program FilesDigitalPeersCamTrackdptracker.exe
utile à votre webcam ?

C:Program FilesTClocktclock.exe
utile ?

C:DOCUME~1ADMINI~1.AZELOCALS~1TempRar$EX00.094HijackThis.exe
installer hijackthis dans "program files" par exemple... B-)

O1 - Hosts: 195.158.171.60 www.file-webber.de
O1 - Hosts: 195.158.171.60 file-webber.de
O1 - Hosts: 195.158.171.60 www.p2p-load.de
O1 - Hosts: 195.158.171.60 p2p-load.de
brrrr à cocher à priori...

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
alcohol alcohol... bof bof...

O2 - BHO: Alcohol Toolbar Helper - {0ACF00E0-C1E4-4F6B-B290-10AC7505C47A} -
C:Program FilesAlcohol Toolbarv3.0.0.0AudioGizmo_Toolbar.dll
sert à quoi cette toolbar alcohol ???

O3 - Toolbar: Alcohol Toolbar - {DC59A0D4-0ED6-4A73-B356-1B977F2A7725} -
C:Program FilesAlcohol Toolbarv3.0.0.0AudioGizmo_Toolbar.dll
sert à quoi cette toolbar alcohol ???

...et faites un scan el ligne :
http://www.kaspersky.com/virusscanner

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer :
http://cerbermail.com/?tVjLN6N0wM

Bonjour Eric G.,

Platform: Windows XP SP1 (WinNT 5.01.2600)
Passez au SP2

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
et donc mettre à jour Internet Explorer...

D'abord assainir la machine !

;o)

Mario MORINO a formulé ce mercredi :

Bonjour Eric G.,

Platform: Windows XP SP1 (WinNT 5.01.2600)
Passez au SP2

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
et donc mettre à jour Internet Explorer...

D'abord assainir la machine !

;o)

bah, assainir une machine dont les failles de sécurité ne sont po
corriger... B-)

--
@+
ERIC
http://ericzworkz.free.fr
Spam protected, click here to answer :
http://cerbermail.com/?tVjLN6N0wM

*Bonjour*
Voici l'évaluation par le robot :
http://www.hijackthis.de/logfiles/dd7e126b1824fb9733707c1f3656127e.html

Pour passer de SP1à SP2 tu fais comme tu le sens, si tu as un bon AV et
un bon parefeu...
Pour le reste, tu élimines ce qui est marqué d'un gros point
d'exclamation rouge dans un cercle.
--
Jacquouille la Fripouille

*Bonjour*
Dans news:mn.50097d68c8eb7242.59072@li.de.invalid, fifi se perdit en
conjectures avant d'écrire :

franchement, continuer en sp1 n'est il pas purement et simplement du
délire ?

Booooooooooooofffffffffffffffffffffffffff ! rofl
--
Jacquouille la Fripouille

fifi nous a déclaré...

franchement, continuer en sp1 n'est il pas purement et simplement du
délire ?

Je ne sais pas si c'est franchement du délire mais c'est indubitablement de
l'inertie ! ;-)

--
Cordialement,

Luc Burnouf

adresse de réponse invalide
pour me joindre --> http://cerbermail.com/?1bU8V4YO3y
robottest@netcourrier.com

*Bonjour*
Dans news:mn.502b7d6800046794.59072@li.de.invalid, fifi se perdit en
conjectures avant d'écrire :

Ben ça sert a quoi qu'il se décarcassent ? ;-) , +- 100 machines au
boulot, tu crois vraiment qu'il vont faire une offre de mise à jour
et des prix ? mdr ;-) On va pas taper sur le chef hein. mdr ;-)

Je m'en tape de 100 machines au boulot. Je suis retraité et seul sur

ma bécane.
Le seul chef après Dieu, c'est ma femme, mais l'informatique ne
l'intéresse pas du tout.
Donc je fais comme je veux dans mon jardin secret.
J'y passerai à SP2, certainement avant le 14/10 à cause du support.
Et je suis sûr que vous verrez mes posts d'appels au secours parce
que tel ou tel logiciel ou périphérique ne marche plus.
Aussi je ferai ça dans la tranquillité, cet automne quand mes
turbulents petits-enfants chéris seront rentrés chez eux.
Pour répondre à Luc, je ne suis pas inerte, mais sur certaines choses
- dont SP2 - je me meus *très* lentement. rofl
Le *seul* avantage de SP2 est *à mes yeux* leur centre de sécurité
dont je n'ai pas besoin. Mon SP1 étant très bien stabilisé et
équilibré, avec NIS 2006 (on ne rit pas lol ). Pourquoi changer qq
chose qui marche à mon - faible - niveau. lol
Allez, on en reparlera en octobre. ;-)

--
Jacquouille la Fripouille

*Bonjour*
Dans news:mn.60167d68c283e668.59182@li.de.invalid, fifi se perdit en
conjectures avant d'écrire :

Ce matin, une offre de test bétâ va, ( tout en anglais) pour la
nouvelle version 2007 qui change tous les ans.... ;o) ^^ ;-)

C'est assez cher ; tous les 2 ou 3 ans ça suffit. Un renouvellement de
mon abonnement suffira le temps venu.
Et puis je n'ai pas une âme de béta-testeur. :-D
--
Jacquouille la Fripouille